Mit NDR können Sie Ihr SIEM noch besser nutzen (und EDR hilft auch)

Mit NDR können Sie Ihr SIEM noch besser nutzen (und EDR hilft auch)

Mit NDR können Sie Ihr SIEM noch besser nutzen (und EDR hilft auch)

Mit NDR können Sie Ihr SIEM noch

besser nutzen (und EDR hilft auch)

Mit NDR können Sie Ihr SIEM noch

besser nutzen (und EDR hilft auch)

By:
投稿者:
Gregory Cardiet
October 13, 2020

Ich unterstütze schon lange den Ansatz von Gartner, der Endgeräte-Erkennung und Response (EDR), Netzwerk-Erkennung und Response (NDR) sowie Sicherheitsinformations- und Ereignis-Management (SIEM) kombiniert, um eine SOC-Transparenz-Triade zu bilden. Doch auf dem steinigen Weg zur Transparenz im Security Operations Center (SOC) müssen Sie bei der Implementierung von Angriffserkennungstools zahlreiche Hindernisse überwinden.

Ein genauerer Blick auf die SOC-Transparenz-Triade zeigte bisher, dass herkömmliche SIEM-Systeme nicht immer in der Lage waren, große Mengen an Ereignissen, bestimmte Datentypen sowie eine Vielzahl anderer Herausforderungen zu bewältigen. Bei der Zusammenarbeit mit Unternehmen haben wir immer wieder festgestellt, dass Security-Teams Probleme haben, SIEM-Systeme für die verschiedenen Anwendungsbereiche einzurichten oder zu pflegen – auch dann, wenn die Größe der eigentlichen Datensätze kein Problem darstellt.

Für die Einrichtung und Pflege der komplexen SIEM-Anwendungsbereiche sind immense technische Ressourcen und personeller Aufwand erforderlich. Bevor Sie Sicherheitsprozesse vom SIEM verarbeiten lassen und sich Gedanken über die erforderlichen Ressourcen machen, sollten Sie sich zudem der erheblichen Betriebskosten bewusst sein.

Der Vectra-Kunde Saint Gobain sah sich vor einigen Jahren mit diesen Problemen konfrontiert und kam zu folgendem Schluss:

  • Automatisieren Sie die Angriffserkennung mit NDR und EDR. Machen Sie sich mit dem MITRE ATT&CK-Framework vertraut, um sicherzustellen, dass Sie alle Bedrohungen abdecken und mit der wachsenden Zahl an IP-Adressen Schritt halten können.
  • Erwägen Sie, eigene Modelle zur Bedrohungserkennung zu erstellen, die zu den Anwendungsbereichen passen, die für Ihr Unternehmen relevant sind. Ein Pauschalansatz für NDR, EDR und SIEM funktioniert nicht.
  • Erstellen Sie für SIEM-Erkennungen Anwendungsbereiche, die für Ihr Unternehmen relevant sind und von anderen Sicherheitsanbietern nicht abgedeckt werden. Damit können Sie langfristig hochwertige Erkennungen gewährleisten.

Bei der Priorisierung von SOC-Investitionen ist ein deutlicher Trend sichtbar: Unternehmen, die sich über ihr SIEM Gedanken machen, gehen zu einem EDR-zentrierten Ansatz über. Allerdings kann EDR nicht alle Geräte oder Workloads im Unternehmen abdecken und aufgrund des Implementierungsstandorts ist nur ein lokaler Blick auf Dateien und Prozesse möglich. Daher ist ein anderer, ergänzender Ansatz erforderlich.

Das führt heute zu einer schnellen Implementierung von NDR. Durch NDR werden die Sicherheitsprozesse erheblich verbessert, da Sie eine vollständige Transparenz Ihrer Netzwerke – von den Cloud- und Rechenzentrum-Workflows bis zu Benutzern und IoT-Geräten – erreichen und wertvolle Daten für Ihre EDR- und SIEM-Workflows erhalten.

Der agentenlose Ansatz von NDR liefert einen allgemeinen Überblick und konzentriert sich auf die Interaktionen zwischen verschiedenen Hosts und Konten. Dabei deckt NDR die stets vorhandenen Spuren verborgener Angreifer in Cloud-, Rechenzentrum, IoT- und Unternehmensnetzwerken auf.

Diese umfassende Transparenz zeigt – in Kombination mit Automatisierung und der NDR-bedingten Workload-Reduzierung im SOC – ganz deutlich, warum zukunftsorientierte Security-Teams auf einen NDR-zentrierten Ansatz bauen:

  • Integration mehrerer Anbieter ist ein Muss, um Konsistenz und einfache Untersuchungen zu gewährleisten.
  • Umfassender Kontext zur Erkennung zeigt das volle Ausmaß eines Angriffs und ermöglicht eine schnellere und fundiertere Response.

Die Frage nach der Priorisierung und Wahl der Investitionen in Erkennungstechnologien wird von Security-Teams heute anders beantwortet:

  • EDR: Liefert genauere Antworten, deckt aber weniger Systeme ab. Wahrscheinlich wird sich auf bis zu 40 % der Systeme niemals ein Agent befinden – wenn Sie IoT- und OT-Geräte berücksichtigen, ist die Abdeckung sogar noch deutlich geringer.
  • NDR: Umfassendere Abdeckung, aber kein Einblick in böswillige Aktivitäten auf einzelnen Systemen.

Wenn Sie mehr erfahren möchten, informieren Sie sich über die SOC-Transparenz-Triade und darüber, wie Sie damit von der Prävention zur Erkennung übergehen.

About the author

Gregory Cardiet

Gregory has been working in the field of cyber-security for the last 10 years, first focused on Networking and now Cloud security. During the last 4 years at Vectra, he has been evangelizing the idea of a need for a next-generation of network-based detection and response tool (NDR) that would close a gap created by EDR and SIEM. Previously, he has held a role as Consulting Security Engineer (Expert) at HPE/Aruba where he was advising large global organization about security strategy of the access layer.

Author profile and blog posts

Most recent blog posts from the same author

Mit NDR können Sie Ihr SIEM noch besser nutzen (und EDR hilft auch)

October 13, 2020
Read blog post

NDR Helps You Achieve More from Your SIEM (EDR Helps, Too)

September 25, 2020
Read blog post
Threat detection

L’IA empêche les Cryto-mineurs d’utiliser les ressources d’ordinateurs zombies

September 3, 2018
Read blog post